В далекие институтские годы, моя преподавательница по СУБД говорила, что неправильно из баз удалять, все что попадает в базу должно там оставаться навсегда. Это считается "правилами хорошего тона" и выглядит "профессионально". С тех пор, на протяжении всей своей жизни, при проектировании баз данных я всегда стремился не удалять данные, а помечать их как удаленные, и вопрос решать уже на уровне отображения...

А с приходом машинного обучения, эти правила хорошего тона превратились в необходимость, ибо чем больше данных, тем быстрее и лучше мы обучаем наши модельки. В общем, много данных, как и много знаний, не бывает.

Однако, чем больше данных, тем, очевидно, шире на них поверхность атаки... тем более, когда есть соблазн думать, что данные удалены, их нет, а, следовательно, не стоит думать об их защите...

Ну вот и публикация поспела про Github. Лишнее подтверждение тому, что все, что мы с вами вбили в Интернет, останется там навсегда.

Какое-то время назад пролетали слайды про атаки на AD через кривые ACL. Наконец-то дошли руки их полистать. Слайды хорошие: есть и базовая теория, есть и полезные ссылки, поэтому решил прикопать здесь.
А вот еще и видео к этим слайдам.

Когда на внутренних семинарах я рассказываю про профиль потенциального заказчика для MDR, Compromise Assessment и Incident Response, то обычно показываю эту картинку. Принципиальный момент здесь: если есть явные следы компрометации - то далее должна работать команда IR, а если следов компрометации нет и надо их поискать - это задача для команды CA. Но жизнь многогранна, поэтому случаются и исключения

Некоторое время назад закончили проект CA, который мы внутри прозвали что-то вроде "zero-lead IR" - идея в том, что заказчик пришел, как бы за IR, однако, явных следов компрометации (leads) не имел.

История в том, что к заказчику пришел местный регулятор и сообщил, что у него на сетевом периметре стоит уязвимое (и эксплуатабельное!) сетевое оборудование, и что практически нет сомнений, что в таких условиях его взломали и ему немедленно следует провести расследование. Заказчик пришел к нам и мы ему помогли, а для себя отметили этот, не совсем типовой, профиль заказчика для Compromise Assessment.

У истории счастливый конец, заказчика не успели серьезно поломать. Но я не писал бы об этой истории в пятницу, если бы ни одно обстоятельство. Вместе с требованием провести расследование регулятор рекомендовал заказчику срочно обновить уязвимое сетевое оборудование, что заказчик незамедлительно выполнил (еще бы, регулятор потребовал!), поэтому если и были какие-либо артефакты эксплуатации уязвимостей, они канули в Лету при обновлении :(

Не будем здесь приводить очевидные выводы и следствия, просто давайте запомним эту историю, и что делать генеральную уборку места преступления следует только после завершения следственных действий.

#mdr #пятница

27 июля 1841 на дуэли погиб Михаил Юрьевич Лермонтов. Писатель, перечитывая которого уже сорокалетним многодетным отцом, я не переставал поражаться как можно писать так глубоко в 25 лет!

Я ни раз был и на месте дуэли и на месте первого захоронения, пока бабуля не увезла любимого Мишеля в родовые Тарханы , но до сих пор меня не оставляет трагичность судеб самого Михаила Юрьевича и его бабули, Николая Соломоновича и его сестры..., и мысли плавно переходят к судьбам его литературных героев: Бэлы, Максима Максимыча, Мэри и Грушницкого...

#книги #история

Когда я готовился к OSCP успел стать фанатом HTB. Всем настоятельно рекомендую ресурс. (например, в мое время лабы OSCP для подготовки были очень старые, тогда как по факту на экзамене было все новенькое, HTB очень помог)

Однако, со времен знакомства с Алексеем Евгеньевичем Жуковым на 4-м курсе, испытывал немалую слабость к прикладной криптографии, что иногда выливалось в небольшие исследования (ZN, PHD ).

А вот на днях попался ресурс, как HTB, но для тех кто любит криптографию.

В общем, ждут меня снова бессонные ночи 😁...

#саморазвитие

У нас для вас две новости. И обе отличные!

Первая: открыт сбор докладов на SOC Forum 2024. Заявки принимаем с 30 июля до 12 сентября.

Вторая: мы улучшили личный кабинет. Больше не нужно ждать заветного письма из Хогвартса с одобрением доклада на почте — на сайте можно сделать все и сразу:

· подать заявку на один или несколько докладов;
· отследить статус заявки;
· узнать важные новости для спикеров.

Уже ждем ваши доклады!

Несмотря на то, что почти всю жизнь мой work/life баланс в плачевном состоянии (хочется выразить глубокую благодарность всем членам моей семьи за терпение), мне все-таки удавалось принимать участие в жизни собственных детей, а поскольку в этом у меня было несколько попыток, позвольте мне считать себя экспертом в детской психологии и воспитании.

Детский коллектив, из насколько бы гениальных детей он ни состоял, устроен так, что если найдется хотя бы один разгильдяй\безобразник, то весь коллектив непременно скатится до его уровня. В общем, если все серьезно занимаются, но найдется кто-то, кто балуется и не слушает, очень скоро все будут баловаться и не слушать. Вполне возможно, отсюда исходит традиция удалять из класса тех, кто нарушает рабочую обстановку. Один способен подорвать и полностью уничтожить работу всего класса...

Как ни прискорбно это отмечать, но рабочим коллективам, состоящим из уже взрослых людей, свойственна эта же, описанная мною применительно к детям, проблема. В статье, да и вообще, в любой литературе обычно пишут о том, как важно мотивировать лидеров, поддерживать и всячески культивировать их мотивацию. А где-то пишут, что их мотивация будет заряжать остальных и, даже если есть разгильдяи, они непременно включатся в работу, пойдут в гору. Да, такое бывает, но чаще - наоборот, так как идти вниз лидеру проще, чем идти в гору разгильдяю, а закоренелому разгильдяю пойти в гору не суждено никогда, и не надо тешить себя надеждами.

Чем дольше разгильдяй остается в периметре коллектива, тем больше его негативное влияние на всех. Банально, коллеги смотрят на то, как ему все сходит с рук и мотивация пропадает, может, даже и на подсознательном уровне. Ситуация, очевидно, ухудшается еще больше, когда разгильдяй завязан в какие-либо производственные процессы - как бы не напрягались исполнители на всех других этапах, весь процесс будет работать в темпе разгильдяя.

А что с этим делать? Да, то же, что и учитель в классе - удалять! Разгильдяев надо быстро распознавать и увольнять, пока их влияние не заразило остальных и не погубило всю команду. Если нам, менеджерам, взбередет в голову удерживать и сохранять разгильдяя, то мы будем терять истинно мотивированных коллег, которые не смогли изменить своим приципам и скатиться до уровня разгильдяев, которые не смогли начать работать "в привычном темпе", толочь в ступе воду, даже если это соответствует каким-либо "лучшим практикам". Задача менеджера - обеспечение комфортной рабочей среды, нацеленной на достижение результата, где лидеры будут мотивировать, а чтобы они их мотивационное влияние работало, не должно быть разгильдяев-демотиваторов!

#управление

В нашем с вами канале есть раздел #книги, поэтому уместно здесь рассказывать и о книгах про книги, тем более, что предмет данного поста - весьма неплохая подборка литературы по различным направлениям как организации производства и управления, так и самоорганизации и саморазвития.

Как изменить себя к лучшему. 99 книг Библиотеки Сбера представляет собой сборник коротких статей о, наверно, самых известных книжках в своих областях. Если нам с вами когда-либо захочется погрузиться в ту или иную область, и мы будем подбирать себе литературу, начать имеет смысл с выбора из этих 99.

Сразу скажу, что я их все не читал, а какие-то, типа Шваба или рассуждения о том "почему одни страны богатые, а другие бедные", я и вовсе не планирую читать, но есть и книжки, очень хорошие, о которых мы писали. Как из песни не выкинуть слов, так и из списка Сбера не выкинить книжки, такой уж он есть, этот Сбер...

Наверно, я что-нибудь нарушу, если поделюсь своей электронной версией книги, поскольку с удивлением заметил, что это издание продается (когда читал пару лет назад, искренне думал какой Сбер молодец, что сделал такую замечательную подборку общедоступной бесплатно!), но даже дилетант Google без труда сможет найти эту книгу самостоятельно.

А в этой заметке я приведу список книг, о которых можно почитать в этой "Библиотеке Сбера". Итак, поехали!

1. 7 навыков высокоэффективных людей. Мощные инструменты развития личности. Стивен Кови
2. От хорошего к великому. Почему одни компании совершают прорыв, а другие нет. Джим Коллинз
3. Жалоба – это подарок. Обратная связь с клиентом – инструмент маркетинговой стратегии. Джанелл Барлоу, Клаус Мёллер
4. Дао Toyota. 14 принципов менеджмента ведущей компании мира. Джеффри Лайкер
5. Искусство результативного управления. Ларри Боссиди, Рэм Чаран
6. Развитие лидеров. Как понять свой стиль управления и эффективно общаться с носителями иных стилей. Ицхак Адизес
7. Управление стрессом. Как найти дополнительные 10 часов в неделю. Дэвид Льюис
8. Когда гений терпит поражение. Взлет и падение компании Long-Term Capital Management. Роджер Ловенстайн
9. Догнать зайца. Как лидеры рынка выигрывают в конкурентной борьбе и как великие компании могут их настичь. Стивен Спир
10. 5S для офиса. Как организовать эффективное рабочее место. Томас Фабрицио, Дон Тэппинг
11. Черный лебедь. Под знаком непредсказуемости. Нассим Николас Талеб
12. Экономика впечатлений. Работа – это театр, а каждый бизнес – сцена. Б. Джозеф Пайн II, Джеймс Х. Гилмор
13. Эмоциональный интеллект. Почему он может значить больше, чем IQ. Дэниел Гоулман
14. Бережливое производство + шесть сигм в сфере услуг. Майкл Джордж
15. Менеджмент. Природа и структура организаций глазами гуру. Генри Минцберг
16. Любовь, любовь, любовь. О разных способах улучшения отношений, о приятии других и себя. Лиз Бурбо
17. Не стать заложником. Сохранить самообладание и убедить оппонента. Джордж Колризер
18. Викиномика. Как массовое сотрудничество изменяет все. Дон Тапскотт, Энтони Д. Уильямс
19. После меня – продолжение… Акин Онгор
20. Рефрейминг организации. Компания как фабрика, семья, джунгли и храм. Ли Болмэн, Терренс Дил
21. Управление результативностью. Система оценки результатов в действии. Майкл Армстронг, Анжела Бэрон
22. Цель. Процесс непрерывного совершенствования. Элияху Голдратт, Джефф Кокс
23. Краудсорсинг. Коллективный разум – будущее бизнеса. Джефф Хау
24. Wiki-правительство. Как технологии могут сделать власть лучше, демократию – сильнее, а граждан – влиятельнее. Бет Симон Новек
25. Переговоры. Полный курс. Гэвин Кеннеди
26. Результативность. Секреты эффективного поведения. Робин Стюарт-Котце
27. Танец перемен. Новые проблемы самообучающихся организаций. Питер Сенге, Ричард Росс, Смит Брайан, Джордж Рот, Арт Клейнер, Шарлотта Робертс
28. Сингапур. Восьмое чудо света. Юрий Сигов
29. Теряя невинность. Как я построил бизнес, делая все по-своему и получая удовольствие от жизни. Ричард Брэнсон
30. Критическая цепь. Элияху Голдратт
31. Deadline. Роман об управлении проектами. Том ДеМарко

32. Новая цель. Как объединить бережливое производство, шесть сигм и теорию ограничений. Джефф Кокс, Ди Джейкоб, Сьюзан Бергланд
33. Гении и аутсайдеры. Почему одним все, а другим ничего? Малкольм Гладуэлл
34. Управление бизнес-процессами. Практическое руководство по успешной реализации проектов. Джон Джестон, Йохан Нелис
35. Как гибнут великие. И почему некоторые компании никогда не сдаются. Джим Коллинз
36. Командный подход. Создание высокоэффективной организации. Джон Катценбах, Дуглас Смит
37. Поток. Психология оптимального переживания. Михай Чиксентмихайи
38. Богатство семьи. Как сохранить в семье человеческий, интеллектуальный и финансовый капиталы. Джеймс Хьюз-мл.
39. Лидер без титула. Современная притча об истинном успехе в жизни и бизнесе. Робин Шарма
40. Победить с помощью инноваций. Практическое руководство по изменению и обновлению организации. Майкл Ташмен, Чарльз О’Райли III
41. Мегапроекты. История недостроев, перерасходов и прочих рисков строительства. Бент Фливбьорг, Нильс Брузелиус, Вернер Ротенгаттер
42. Больше, чем эффективность. Как самые успешные компании сохраняют лидерство на рынке. Скотт Келлер, Колин Прайс
43. Умение слушать. Ключевой навык менеджера. Бернард Феррари
44. Жизнь на полной мощности. Управление энергией – ключ к высокой эффективности, здоровью и счастью. Джим Лоэр, Тони Шварц
45. Сила воли. Как развить и укрепить. Келли Макгонигал
46. Великие по собственному выбору. Джим Коллинз, Мортен Хансен
47. На этот раз все будет иначе. Восемь столетий финансового безрассудства. Кармен М. Рейнхарт, Кеннет С. Рогофф
48. Искусство системного мышления. Необходимые знания о системах и творческом подходе к решению проблем. Джозеф О’Коннор, Иан Макдермотт
49. Банк 3.0. Почему сегодня банк – это не то, куда вы ходите, а то, что вы делаете. Бретт Кинг
50. Ускорение перемен. Джон П. Коттер
51. Почему одни страны богатые, а другие бедные. Происхождение власти, процветания и нищеты. Дарон Аджемоглу, Джеймс А. Робинсон
52. Будущее разума. Митио Каку
53. Как работает Google. Эрик Шмидт, Джонатан Розенберг
54. Принцип пирамиды Минто. Золотые правила мышления, делового письма и устных выступлений. Барбара Минто
55. Практическая мудрость. Правильный путь к правильным поступкам. Барри Шварц, Кеннет Шарп
56. Креативная компания. Как управлять командой творческих людей. Эд Кэтмелл, Эми Уоллес
57. Прыгни выше головы! 20 привычек, от которых нужно отказаться, чтобы покорить вершину успеха. Маршалл Голдсмит
58. Просто о больших данных. Джудит Гурвиц, Алан Ньюджент, Ферн Халпер, Марсия Кауфман
59. Кратко. Ясно. Просто. Алан Сигел, Айрин Этцкорн
60. Scrum. Революционный метод управления проектами. Джефф Сазерленд
61. Взаимодействие в команде. Как организации учатся, создают инновации и конкурируют в экономике знаний. Эми Эдмондсон
62. Эффективное правительство для нового века. Реформирование государственного управления в современном мире. Раби Абучакра, Мишель Хури
63. Четвертая промышленная революция. Клаус Шваб
64. Умные граждане – умное государство. Экспертные технологии и будущее государственного управления. Бет Симон Новек
65. Открывая организации будущего. Фредерик Лалу
66. Позитивная организация. Освобождение от стереотипов, принуждения, консерватизма. Роберт Куинн
67. Выбирать сильнейших. Как лидеру принимать решения о людях. Клаудио Фернандес-Араос
68. Сердце компании. Почему организационное здоровье определяет успех в бизнесе. Патрик Ленсиони
69. Блокчейн. Схема новой экономики. Мелани Свон
70. Университет третьего поколения. Управление университетом в переходный период. Йохан Г. Виссема
71. Huawei. Лидерство, корпоративная культура, открытость. Тянь Тао, Давид де Кремер, У Чуньбо
72. Ищи в себе. Неожиданный путь к достижению успеха, счастья и мира во всем мире. Тан Чад-Мень
73. Отношение определяет результат. Дов Сайдман
74. Синдром «шахты». Как преодолеть разобщенность в жизни и обществе. Джиллиан Тетт
75. Бережливые инновации. Как делать лучше меньшим. Нави Раджу, Джайдип Прабху
76. Просто об Agile. Марк Лейтон, Стивен Остермиллер
77. Введение в критическое мышление и теорию креативности. Джо Лау

78. Семь этюдов по физике. Карло Ровелли
79. Лидер и племя. Пять уровней корпоративной культуры. Дэйв Логан, Джон Кинг, Хэли Фишер-Райт
80. Технологии Четвертой промышленной революции. Клаус Шваб
81. Мои годы в General Motors. Альфред Слоун
82. Конец традиционной власти. Армия и церковь, корпорация и государство: что изменилось в управлении ими. Мойзес Наим
83. Действуй как лидер, думай как лидер. Эрминия Ибарра
84. Эмоциональная гибкость лидера. Как soft-навыки позволяют достигать высоких результатов. Керри Флеминг
85. Принципы. Жизнь и работа. Рэй Далио
86. Проект «Феникс». Роман о том, как DevOps меняет бизнес к лучшему. Джин Ким, Кевин Бер, Джордж Спаффорд
87. Банковский менеджмент, ориентированный на доход. Измерение доходности и риска в банковском бизнесе. Хеннер Ширенбек, Михаэль Листер, Штефан Кирмсе
88. Талант побеждает. О новом подходе в реализации HR-потенциала. Рэм Чаран, Доминик Бартон, Деннис Кэри
89. 21 урок для XXI века. Юваль Ной Харари
90. Как сохранить здравый ум. Филиппа Перри
91. Agile. Майк Кон
92. Платформа. Практическое применение революционной бизнес-модели. Алекс Моазед, Николас Джонсон
93. Цифровая трансформация Китая. Опыт преобразования инфраструктуры национальной экономики. Ма Хуатэн, Мэн Чжаоли, Ян Дели, Ван Хуалей
94. Цифровая трансформация бизнеса. Питер Вайл, Стефани Ворнер
95. Как жаль, что мои родители об этом не знали (и как повезло моим детям, что теперь об этом знаю я). Филиппа Перри
96. Безграничный разум. Учиться, учить и жить без ограничений. Джо Боулер
97. Сила в спокойствии. Достижение гармонии с помощью трансцендентальной медитации. Боб Рот
98. Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании. Эллисон Сэрра
99. От носорога к единорогу. Как провести компанию через трансформацию в цифровую эпоху и избежать смертельных ловушек. Виктор Орловский, Владимир Коровкин

#саморазвитие

Контроли ИБ - это инструменты CISO для управления рисками ИБ. Рисками можно управлять по-разному - можно принять и ничего не делать, можно и застраховаться, но наиболее частый сценарий - снижение ущерба, тут мы и используем контроли (security controls, наиболее полный, на мой взгляд, каталог контролей NIST SP 800-53)
Котролей можно придумать великое множество - это и какие-то специализированные средства, типа EPP-EDR, какие-то внутренние бизнес-процессы, типа контроля доступа и т.п. Все делать самому невозможно и, наверно, неразумно (аутсорсинг - критерий зрелости рынка предложений), поэтому проведя анализ CISO совместно с Бизнесом и ИТ принимают решение что делать самим, а что купить в виде услуги. Любое предложение MSSP - это такой же контоль безопасности, как межсетевой экран или сканер уязвимостей.

Для любого контроля безопасности принципиально понимать логичную последовательность: сначала возникает проблема\риск, а затем их влияние минимизируются контролями. Покупать контроли впрок - дело неблагодарное, так как при отсутствии потребности нет возможности понять критерии успеха контроля, без чего невозможно оценить эффективность и результативность контроля, не говоря уже о каких-либо производных, типа ROI. Итак, сначала потребность, затем - контроль, а не наоборот. Я согласен с тем, что надо объяснять необходимость тех или иных контролей, но это уходит в плоскость маркетинга\рекламы и образовательных программ, для меня же, работающего в R&D и отвечающего за delivery, мир устроен именно так: если CISO не видит потребность в контроле, значит у него нет проблемы, которую контроль адресует, а значит ему контроль не нужен. Ну а доказывать необходимость контроля тоже может оказаться невежеством, поскольку я не на месте CISO и не располагаю достаточной информацией: может, для него весь риск, который адресуется контролем - нематериален, может, CISO внедрил множество других превентивных (и риски, адресуемые предлагаемыми мною контролями, не реализуются или не принесут ущерба) или компенсирующих контролей, а может, посмотрев на историю с Crowdstrike, CISO решил, что ущерб от выхода из стороя СЗИ в его случае значительно превышает потенциальный ущерб взлома.

С учетом сказанного, вопросы типа зачем мне MDR если у меня есть EPP, меня ставят в тупик: если есть ощущение, что EPP закрывает все сценарии атак и чего-то большего не требуется - это, вполне себе, позиция. Но на всякий случай я обычно рекомендую провести пентест и посмотреть сколько времени потребуется аудиторам для обхода EPP...

#vCISO #пятница

Дорогие мои подписчики!

Уже буквально через несколько часов поезд Москва-Мурманск увезет меня до станции Апатиты 1, откуда начнется мой поход - сплав по реке Умба. Нас 12 человек, мы идем на 3-х каяках, двух катах-двушках и одном кате-четверке. Не ожидаю, что во время путешествия будет связь, поэтому писать не смогу, но:
- постараюсь вести небольшой дневник, которым, если там будет что-то интересное, обязательно поделюсь
- запишу тренировки Рафтинг, поэтому, кто следит за мной в Strava, маршрут сможет отследить там

Пока делюсь с вами видео, где товарищ идет практически тем же маршрутом, а в комментарии к этой заметке приложу одно из описаний маршрута от других туристов.

#здоровье

Для тех, кто не любит смотреть видео, предпочитает читать статьи, по мотивам этого доклада вышла статья на Хабре:

https://habr.com/p/833260/

#mdr #phd2

Сегодня в поезде Мурманск - Москва, изучал интересный подход к обеспечению ИБ - Automated Moving Target Defense (AMTD).

Традиционно, мы превентивно управляем угрозами путем сокращения поверхности потенциальной атаки: выключаем все лишние службы и блокируем все ненужные сетевые взаимодействия, следуя принципу минимума полномочий, управляем уязвимостями, реализуем эшелонированный подход, чтобы атакующему требовалось как можно больше шагов/времени до получения кочей от королевства... Но можно делать и кое-что ещё: можно динамически менять поверхности атаки, чтобы компрометируемая система менялась быстрее, чем атакующий может найти, спланировать и реализовать сценарий компрометации. Первое попавшееся более-менее полное описание привожу.

Идея кажется не новой, поскольку ASLR существует с начала 2000-х , однако широкого распространения, как части EPP/XDR, подход пока не получил (ну или я что-то не знаю, напишите в комментариях), хотя коллеги по индустрии на этом бодро хайпуют, рассказывая о давно уже неновых технологиях, и даже не особо релевантных, типа Adaptive Protection, что может создать у читателя немного некорректное мнение о AMTD.

Самые эффективные механизмы защиты - встроенные, навесные работают несравненно хуже и нередко расширяют поверхность атаки (хотя, любой новый функционал расширяет поверхность атаки). Я уже рассуждал о нативной поддержке эшелонированности и принципа минимума полномочий в контейнерных средах, вот и сейчас задумался о том что динамическая природа контейнеров прекрасно сочетается с AMTD.

#mdr

В 1861 году в Карлсруэ Дмитрий Иванович Менделеев презентовал свой Периодический закон, который всем известен в своем представлении в виде Таблицы Менделеева. Таблица - отличный инструмент систематизации информации, позволяющий увидеть ситуацию всю и сразу, "сверху", с "высоты птичьего полета". В итоге мы получили возможность предсказывать отсутствующие на момент ее составления химические элементы, что мы и наблюдали упражняясь, например, с радиактивными веществами, получая новые химические элементы и находя для них пустующую клеточку в Таблице Д.И. Менделеева.

Таблички также любил и Эдгар Кодд, предложивший в 1985 году правила, послужившие основой для реляционных баз данных, где главный элемент представления данных - таблица. В таблицах реляционных БД можно более-менее оптимально (без дублирования) хранить связанные данные.

Где-то в 2013 свою таблицу ATT&CK предложила MTRE, и она тоже всем понравилась, за счет все тех же возможностей по систематизации всего сразу в одном месте: ранее разрозненные знания были собраны в одно представление, этим стало удобно пользоваться.

Сейчас, когда атаки с использованием генеративных ИИ на подъеме назрела необходимость их систематизации. И вот, на мой взгляд, неплохая попытка это сделать - Generative AI Misuse: A Taxonomy of Tactics and Insights from Real-World Data.
Не могу профессионально судить (машобуч и ИИ для меня, скорее, увлечение) насколько качественно авторы проработали вопрос, но, как минимум, почитать, потыкать ссылки на реальные примеры, очень даже небесполезно. В перспективе, думаю, будет еще много подобных попыток систематизации, пока какие-нибудь MITRE или NIST не сделают самый правильный вариант.

#ml

Есть такая старая атака, когда провоцируется аутентефикация учетной записи с мощными полномочиями на скомпрометированном ресурсе, и таким образом перехватывается аутентификационный материал. Такой сценарий я использовал для машинки Querier на HTB, когда запускал xp_dirtree на свой респондер и перехватывал Net-NTLMv2 от сервисной учетной записи SQL Server. В одной из лабораторок курса Security operations and threat hunting, мы также перехватывали Net-NTLMv2, а затем хантили этот сценарий.

Похожая схема - когда злоумышленник компрометирует рабочую станцию пользователя или сервер и провоцирует подключение к ней админа, например, для какого-либо обслуживания. В начале 2000-х, когда я работал в заказчике на одном из пентестов был именно этот сценарий: подломили сервер, запустили там WCE и ждали, когда придет админ починить (а чтобы он пришел быстрее - опускали и поднимали продуктивные службы). Пришел аж админ домена...

Противостоять таким сценариям пытаются "широкими" ограничениям, типа, заводятся учетки с правами "Админ на серверах", "Админ на пользовательских АРМ" и т.п. Но такая схема тоже так себе, поскольку мне, будучи админом на своем АРМ совсем несложно стать админом на всех пользовательских АРМ, просто пригласив ко мне хелпдеск. Ну и, конечно же, это может быть выполнено и без моего ведома, если моя рабочая станция подломана.

Что же с этим делать? Решение здесь, вроде, простое, но не очень удобное: ходить на систему с полномочиями только на эту систему. Т.е., чтобы при входе на подломанную систему не происходило расширение полномочий. Технически это может быть сделано через вход с помощью специального локального адамина со сменой его пароля после каждой сессии, или через динамическое назначение полномочий непосредственно при входе. Модные PAM это все умеют.

Ну а тогда, в начале 2000-х, получив такой сценарий повышения через вход админа на подломанный пользовательский десктоп, мы написали небольшую систему, которая постоянно ходила по десктопам и меняла пароли локальных админов, а при необходимости подключения, авторизованный индивид заходил на Web-страничку, указывал имя десктопа и получал текущий пароль локального админа, от которого он далее мог производить свои работы по обслуживанию. Позднее, MS выпустила свой LAPS и необходимость в нашей небольшой самописке отпала.

А как ваши админы и хелпдеск подключаются к системам, чтобы их поадминистрировать?

#vCISO

Профессиональная этика

Истинный профессионал всегда этичен в работе, а этичность действий вообще - один из весомых критериев профессионализма. Именно поэтому изучающие боевые искусства изучают и этические моменты, типа как не применять свои умения против неравного противника, а в объеме знаний CISSP целый домен посвящен именно этике. Профессиональный offensive-эксперт, этичный хакер, тоже должен быть этичен, и грань эта проходит как раз там, где одновременно и достигаются цели анализа защищенности, и минимизируется побочка для клиента. Для понимания, вот лишь несколько примеров:
- этичный хакер работает в рамках согласованного объема работ, не ломает системы за рамками,
- не дампит весь домен, а не более того, что требуется для дальнейшего развития атаки в частности, и достижения целей анализа вообще
- получив высокие полномочия не шарится по персональным файлам пользователей, не читает их почту, соцсети
- не заливает шеллы без паролей (тем более, доступные из Интернета), а после окончания работ все внимательнейшим образом вычищает (отчасти для этого все действия должны документироваться), работы аудиторов не должны приводить к расширению поверхности атаки
- строго следует правилам игры, например, если мы играем в Red teaming и аудитора поймали за руку и уточняют детали, он не врет
- и многое-многое другое...

Отсутствие этики в действиях равносильно отсутсвию профессионализма.

В истории есть масса примеров, когда много шума и бесчеловечность скрывали отсутствие базы.
Например, в XIII веке, быстрое продвижение монголо-татарских завоевателей объяснялось отчасти как раз не тем, что они выдающиеся воины, а тем, что русские доселе не видели такой жестокости и пребывали в некотором шоке. Именно поэтому небезызвестный Евпатий Коловрат с "малою дружиною" профессиональных военных вполне себе эффективно и результативно крошил во много раз превосходящие силы врага. Как известно, монголы так ничего и не смогли сделать с неболшим войском Евпатия, в итоге их закидали камнями из катапульт и осадных орудий, с которыми монголы успели к тому времени ознакомиться в Китае.

Как видите, чрезмерная жестокость, и неэтичность в общем случае идут рука об руку с непрофессионализмом.
А профессионал, напротив, как правило, поступает этично.

#управление #история

Инструменты рансомварщиков - https://github.com/BushidoUK/Ransomware-Tool-Matrix/blob/main/Tools/AllTools.csv

Мне репозиторий показался полезным, как минимум, для того, что он содержит список инструментов, использование которых полезно в телеметрии размечать, а если они не используются в сети легально, то это вполне себе хороший индикатор.

Что сразу бросилось в глаза:
- очень немного LOLbins-ов, подавляющее большинство - специализированные инструменты, использование которых нечасто встречается в рамках ИТ-сопровождения, тем более, в ходе работы обычного пользователя
- самые длинные столбики у RMM, Credential Theft и Discovery. Credential Theft - надо просто все блокировать с алертом на попытку использования, даже более-менее легальные procdump и nirsoft на офисных компах смотрятся крайне подозрительно. Если же требуется какое-либо использование утилит из списка, надо четко определить их список и регламент использования: кто, когда, при каких условиях. Аналогично с легализованными в компании RMM, остальные - блокировать, а попытки использования отстреливать алертами. Про Discovery много писал, но здесь помогут канарейки, трогание которых создает алерты, ну или смотреть комбинации, как правило, атакующий дискаверит более активно, чем ИТ траблшутит, да и скоуп, обычно, разный. Но ради справедливости стоит отметить, что, без хорошего situational awareness обнаруживать Discovery с допустимым уровнем фолсы непросто.

Если будут еще какие-либо интересные наблюдения по репозиторию, пишите в комментариях. Много и лишних знаний не бывает!

#MDR

Мы стараемся регулярно делать упражнения, а, может, даже и заниматься спортом, чтобы сохранять физическую форму. Для меня это еще и способ отдохнуть (мы отдыхаем переключаясь на совсем другие занятия), так как любые физические нагрузки - отличная альтернатива моей сидячей работе... но об этом как-нибудь в другой раз..
Обнаруживать и расследовать атаки, а также отрабатывать взаимодействие разных команд при реагировании на инциденты тоже надо тренировать! Continuous red teaming или что-то вроде "непрерывного анализа защищенности" - отличный инструмент для этого. Но, как любой другой отличный инструмент, при неправильном использовании несет новые риски. В частности, внутренний анализ защищенности может интерферировать с реальной атакой, и это негативно влияет на расследование атаки. Для минимизации рисков внутренние анализы защищенности надо немного подрегулировать - порассуждал об этом в новой замете и предложил некоторые пункты в Регламент проведения внутренних анализов защищенности. Как обычно, обратная связь приветствуется в комментариях!

#MDR #vCISO